Het proces heeft de volgende processctappen:
Initiatie van de IKB
Invullen van het IKB sjabloon
Data Protection Impact Assessment
Validatie van de IKB
Rapportering van de IKB
Het proces kan aldus worden samengevat in onderliggende figuur.
Identificatie van informatieassets
Voor een holistische aanpak, wordt eerst een analyse van de zakelijke omgeving van DV gemaakt, en wordt er bepaald welke de zakelijke processen zijn die informatieassets van DV beheren. Zowel de kernprocessen als ondersteunende processen zoals Marketing, HR etc. worden beschouwd. De ISA (“Information Security Architect” of Informatieveiligheidsarchitect) verzamelt informatie van verschillende bronnen binnen DV en stel een lijst op van kern- en ondersteunde processen voor DV. Hierbij werkt de ICA nauw samen met de de dienst Portfoliobeheer van DV en de PM (“Portfolio Manager” of Portfoliobeheerder) die werd aangewezen hiervoor, de afdelingshoofden van de afdelingen van DV, en de DV Risicomanager.
Voor elk van de kern- en ondersteunde processen van DV wordt bepaald door de ISA welke producten beheerd worden in dat proces. Hierbij kan het nodig zijn, de processen nog in verdere detail te bekijken en verder op te delen in verdere deelprocessen, zodanig dat elk van de informatieassets kan worden bepaald. De ISA werkt hiervoor nauw samen met de afdelingsverantwoordelijken van elk van de afdelingen binnen DV, en met de PO’s (“Product Owners” of producteigenaars) van de individuele producten van DV. Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vo, om overheden te ondersteunen in hun digitale transformatie.
De producten worden door de ISA beheerd in een register dat als wordt gebruikt als de rapportering van KPI’s voor het IKB proces. Dit register wordt verder gebruikt om de Informatieklasse (IK) van elk product te beheren en de datum waarop de IK werd bepaald.
Voor elk product wordt de verantwoordelijke geïdentificeerd, zodat deze verder kan betrokken worden bij de IKB. Het productregister wordt minstens jaarlijks en bij belangrijke wijzigingen herzien door de ISO (“Information Security Officer” ) van DV, en wordt minstens jaarlijks goedgekeurd door de CISO (“Chief Information Security Officer”) van DV.
Een IKB wordt opgestart:
door de PO bij de implementatie van een nieuw product
door de PO bij een belangrijke wijziging aan een bestaand product
door de ISA bij de jaarlijkse herziening van het product register waarbij de bevestiging wordt gevraagd aan de PO’s of de
Indien binnen DV nieuwe producten of belangrijke wijzigingen aan bestaande producten worden geïmplementeerd